CORRETA:
b) os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares. (página 18, A.9.2.5)
--------------------------------------------
ERRADAS:
a) os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.
Correção:
os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação devem ser retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades. (página 19, A.9.2.6)
--------------------------------------------
c) um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.
Correção:
um processo formal de registro e cancelamento de usuário deve ser implementado para permitir atribuição de direitos de acesso. (página 18, A.9.2.1)
--------------------------------------------
d) os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.
Correção:
os usuários recebam acesso às redes e aos serviços de redes que tenham sido especificamente autorizados a usar. (página 18, A.9.1.2)
--------------------------------------------
e) uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.
Correção:
uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseado nos requisitos de segurança da informação e dos negócios. (página 18, A.9.1.1)